Den 10 juli 2023 fick vi ett nytt beslut i EU-kommissionen som innebär att det nu återigen är OK att föra över personuppgifter till USA om det mottagande företaget (läs Google, Meta, Microsoft etc.) uppfyller vissa regler.
I artikeln Hur påverkar EU-domstolens beslut kring Schrems 2 Google Analytics? som vi skrev för cirka tre år sedan i samband med att Schrems 2 domen kom så var en av ”lösningarna” att invänta en ny överenskommelse mellan EU och USA. Nu nästan exakt tre år senare har vi alltså en ny lag på plats.
Många företag och organisationer har sedan Schrems 2 lagen kom anpassat vad man mäter, många har korrekta cookie consent funktioner/samtyckesfunktioner och även Google Analytics har i GA4 anpassats mycket (läs mer i artikeln Google Analytics 4 uppfyller nu krav i både GDPR och Schrems 2). Hela marknaden har anpassats mycket helt enkelt.
Vad innebär den nya överenskommelsen mellan EU och USA?
Huvudnyheten och det viktiga ur webbanalys-sammanhang är att det nu återigen är OK att föra över personuppgifter till USA om det mottagande företaget (läs Google, Meta, Microsoft etc.) om det mottagande företaget uppfyller vissa regler (och det gör de uppräknade företagen). Det är otydligt i IMYs nyhet, medan det i EU-kommissionens nyhet är väldigt tydligt:
On the basis of the new adequacy decision, personal data can flow safely from the EU to US companies participating in the Framework, without having to put in place additional data protection safeguards.
Det nya avtalet mellan EU och USA innebär stora förbättringar för EU medborgarnas rättigheter avseende personuppgifter (radering, insamling etc.). Det nya ramverket kallas EU-U.S. Data Privacy Framework. Överenskommelsen innebär att rutiner och juridiska ramverk anpassats efter EUs krav (och det som Schrems klagade på ursprungligen).
The EU-U.S. Data Privacy Framework introduces new binding safeguards to address all the concerns raised by the European Court of Justice, including limiting access to EU data by US intelligence services to what is necessary and proportionate, and establishing a Data Protection Review Court (DPRC), to which EU individuals will have access. The new framework introduces significant improvements compared to the mechanism that existed under the Privacy Shield. For example, if the DPRC finds that data was collected in violation of the new safeguards, it will be able to order the deletion of the data. The new safeguards in the area of government access to data will complement the obligations that US companies importing data from EU will have to subscribe to.
Läs mer i EU-kommissionens nyhet med mer detaljer och historik i frågan.
Varför sa en svensk myndighet att det var förbjudet att använda Google Analytics?
Det kanske mest intressant är varför IMY (den svenska myndigheten som drivit detta arbete) inte utredde flera amerikanska webbanalyssystem (från tex IBM, Adobe eller Oracle), eller andra mätsystem från annonseringsplattformar som LinkedIn Ads, Meta Ads eller Pinterest Ads parallellt med Googles webbanalyssystem. Mätverktyg från Meta och LinkedIn till exempel innehåller ju ”hav med personuppgifter” jämfört med ett webbanalyssystem som Google Analytics. Schrems ursprungliga stämning gällde också Facebook.
Dessutom har det i annan svensk riksmedia via återkommande tillfällen lyfts upp att många företag och organisationer (oftast omedvetet) skickat ”riktiga” personuppgifter till Meta. Det har handlat om namn, e-postadresser och innehåll i varukorgar/köp (vilket till exempel varit köp i apotek). Mången informationschef, VD etc. har försökt förklara sig. Trots detta har IMY valt att ”ge sig på” ett webbanalyssystem, intressant…
3 juli 2023 kom så beslutet från IMY som förklarade att de tvingade fyra bolag att sluta använda Google Analytics. En vecka senare kom alltså EU-kommissionens beslut. Tänk om IMY kunde tagit det lite lugnare så hade vi kunnat använda våra skattemedel på ett mer intelligent sätt. Till exempel lagt fokus på att hålla isär Google Analytics med övriga delar inom Google.
Svaret på frågan då? Ja, beroende på hur man väljer att tolka till exempel personuppgifter så kan man komma fram till olika saker. Är IP-nummer en personuppgift? Är webbläsare en personuppgift? Om man jämför med namn, epostadresser så är det ju inte det i mångas ögon i alla fall. I min mening har IMY och flera liknande nationella myndigheter (tex Datatillsynet i Norge och Danmark) övertolkat och fokuserat på fel saker.
Fler frågor och svar om Google Analytics 4 och GDPR/Schrems
Nedan har vi sammanställt några svar på frågor som vi ofta får när det handlar om webbstatistik, Google Analytics 4, IMY/EU-kommissionen och GDPR/Schrems.
Vi har funderat på att byta webbstatistiksystem på grund av IMYs beslut. Behöver vi fortsätta att utvärdera den frågan?
Nej. I och med EU-kommissionens beslut behöver man inte byta webbstatistiksystem. Det är fritt fram att använda Google Analytics. Åtminstone inte tills dess det kommer ett nytt eventuellt Schrems 3 (och det borde i så fall ta några år).
Vi har redan bytt system, ska vi byta tillbaka?
Om ni redan har tagit kostnaden med att byta system så brukar vi råda till att fortsätta med de båda webbanalyssystemen parallellt. Med tanke på historiken i denna fråga så kan man tex använda Google Analytics mer för kampanjanalys och för enkel export/samverkan med andra system inom Google (Google Ads, Google Search Console, Google Looker Studio mfl).
Om man vill mäta/samköra data från tex crm system och webbanalyssystem så kan det vara exempel på analys man vill köra i ett annat webbanalyssystem (som till exempel Matomo Analytics). Helt enkelt att man inte skickar iväg denna data till Google utan behåller det utanför.
Vi tycker det fortfarande är oklart, kan ni utreda vår situation och hjälpa oss vidare?
Vi kan göra oberoende utredningar/genomlysningar, hjälpa till med beslutsunderlag, förklara/utbilda etc. Kontakta oss på [email protected] så berättar vi mer!
Jag vill lära mig mer om Google Analytics 4 och Matomo Analytics, har ni kurser?
Ja, Avantime erbjuder dels öppna/schemalagda kurser i Google Analytics 4, Matomo Analytics samt anpassade kurser.
Vem kan hjälpa oss med att flytta över till Google Analytics 4 eller till Matomo Analytics?
Avantime är ett exempel på oberoende företag som har webbanalysexperter med mångårig erfarenhet av att byta mellan olika webbstatistiksystem och som gör denna typ av migreringar/flyttar. Avantime hjälper företag och organisationer att använda Google Analytics och/eller Matomo Analytics.
Tips – gå kurs i Google Analytics 4
Boka in dig på vår schemalagda/öppna kurs i Google Analytics 4 eller boka en anpassad kurs/workshop i Google Analytics 4.
Mer vanliga frågor om Google Analytics och närliggande frågeställningar
- Google Analytics 4 ok att använda sedan 10 juli 2023 efter beslut från EU-kommissionen
- Google Analytics 4 nu med datahantering inom EU
- Google Analytics 4 nu helt fritt från ip-nummer (personuppgift)
- Google Analytics 4 uppfyller nu kraven i GDPR och Schrem 2
- Måste jag sluta använda Google Analytics pga Schrems II/EU-domstolen?
- Hur påverkar Schrems II, EU-domstolen och Integritetsskyddsmyndigheten Google Analytics?
- Bryter vi mot lagen om jag använder Google Analytics efter Schrems 2?
- Vad är Google Tag Manager?
- Vad är Google Data Studio?
- Vad är Google Optimize?
- Hur får man tillbaka Service Provider och Network Domain?
- Hur kan man avropa tjänster/licenser inom webbanalys och webbstatistiksystem?
- Vilket webbstatistikverktyg ska jag använda på min webbplats byggd i WordPress?
- Hur certifierar man sig i Google Analytics?
- Hur arbetar man med Google Analytics för att få fler konverteringar?
- Hur kan man mäta digital marknadsföring?
- Vilka nyckeltal bör man ha?
- Hur kan man mäta våra insatser i sociala medier?
- Kan man ta reda på vilka företag som har besökt min webbplats via Google Analytics?
- Hur många mobila besök har vi och vad gör de på siten?
- Kan man använda Google Analytics när man arbetar med sökmotoroptimering?
- Vad är Googles verktyg för webbansvariga/Google Search Console?
- Vad är tillägget Page Analytics?
- Hur väljer man webbstatistiksystem?
- Alternativa webbstatistiksystem till Google Analytics
- Hur skiljer sig Facebooks och Google Analytics konverteringsmätning?
- Utbildning i webbanalys via Trygghetsrådet (TRR)
- Måste man byta från Google Analytics till ett annat webbstatistikverktyg pga av Schrems II?